Résumé de la semaine 15 (du 9 au 15 avril)

Résumé de la semaine 15 (du 9 au 15 avril)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft dans le cadre du Patch Tuesday [1], par SAP [2], pour Grafana [3], par Apache pour Struts [4] ainsi que par Google pour Chrome [5] [6a][6b].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, aucun code d’exploitation n’a été publié.

Informations

Recherche

Microsoft demande aux chercheurs en sécurité de se concentrer sur les serveurs Exchange et SharePoint on-premise [7]

Microsoft fait la chasse aux vulnérabilités sur les versions on-premise d’Exchange, SharePoint et Skype Business. La récompense pourra s’élever à 26 000 dollars pour les failles les plus critiques. Microsoft souhaite identifier les failles permettant de réaliser diverses actions malveillantes: exécution de code arbitraire à distance, contournement d’authentification, etc.

Conflit Ukraine

Le groupe d’attaquants russes Sandworm aurait échoué à mener une attaque de grande ampleur contre le réseau électrique ukrainien [8]

D’après le CERT (Computer Emergency Response Team) ukrainien et les entreprises ESET et Microsoft, le groupe d’attaquants Sandworm aurait tenté de déstabiliser le réseau électrique ukrainien le 8 avril dernier, sans succès. Pour ce faire, le groupe aurait utilisé plusieurs malwares ciblant à la fois les ordinateurs du système de contrôle industriel (ICS) et les serveurs connectés au réseau.

Malware

Trend Micro publie une analyse technique de l’utilisation de Spring4Shell pour exécuter le malware Mirai [9]

Les chercheurs de Trend Micro ont publié l’analyse technique d’une exploitation de la vulnérabilité Spring4Shell par des acteurs malveillants. Observée début avril 2022 dans la région de Singapour, l’exploitation permettait aux acteurs malveillants de déployer et exécuter le malware Mirai dans le dossier /tmp d’un système ciblé.

Cybercriminalité

Le créateur de RaidForums aurait été arrêté le 31 janvier dans le cadre d’une opération internationale [10a] [10b]

Le créateur de la plus grande place de marché criminelle anglophone, RaidForums, a été arrêté le 31 janvier au Royaume-Uni. L’interpellation a eu lieu dans le cadre de l’opération GARROT en coopération avec le DoJ (Department of Justice), Europol, le Royaume-Uni, la Suède, le Portugal et la Roumanie. Le prévenu, nommé Diogo Santos Coelho et connu sous le pseudo Omnipotent, aurait 21 ans. Cela supposerait qu’il avait 15 ans lors du lancement de RaidForums en janvier 2015. Diogo Santos Coelho jouait le rôle d’administrateur et d’intermédiaire lors des transactions entre les membres.

Juridique

Le Département de la Justice Américain annonce avoir conduit une opération de démantèlement du Botnet Cyclop Blink [11]

Le Département de la Justice Américain (DoJ) a publié un communiqué de presse détaillant une opération conjointe entre WatchGuard et le FBI. L’objectif de l’opération était de démanteler le botnet Cyclop Blink en le désinstallant de tous les appareils constituant son infrastructure de commande et contrôle.

Ransomware

Le ransomware Lockbit se dissimulait dans un réseau du gouvernement américain depuis des mois [12]

Malgré leurs efforts pour les dissimuler, les traces de deux groupes d’attaquants ont été retrouvées sur des machines infectées d’une agence régionale du gouvernement américain. Les attaquants ont réussi à s’introduire via un port RDP ouvert à cause d’un pare-feu mal configuré. Ils ont ensuite utilisé Chrome pour télécharger tous les outils dont ils avaient besoin : brute force, scanning, VPN, etc.

Publication

La CNIL publie un guide de présentation et d’accompagnement des Délégués à la protection des données (DPO) [13a] [13b]

La Commission nationale de l’informatique et des libertés (CNIL) a publié le 6 avril 2022 un guide pour aider les organisations sur la mise en place et l’accompagnement du poste de Délégué à la protection de données (DPO). Il s’agit d’un guide pratique, regroupant les principales connaissances sur le DPO, et notamment : son rôle, sa méthode de désignation, ses fonctions et son accompagnement par la CNIL.

 
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2022-1752
[2] CXA-2022-1753
[3] CXA-2022-1729
[4] CXA-2022-1724
[5] CXA-2022-1690
[6] CXA-2022-1791
[8] CXN-2022-1775
[9] CXN-2022-1768
[10] CXN-2022-1751
[11] CXN-2022-1749
[12] CXN-2022-1712
[13] CXN-2022-1662


Jules Wermeister

Analyste CERT-XMCO